Risikomanagement

Risikomanagement

9 Min

9 Min

Read

Read

Zahlungsbetrug: Warum Finance-Teams gerade im Sommer zum Ziel werden

Über drei Viertel der Unternehmen waren 2025 von Zahlungsbetrug betroffen. Warum die Urlaubszeit das Risiko erhöht und wie Zahlungsprozess stabil abgesichert werden können.

David Schneider

CEO & Co-Founder

ZAHLUNGSBETRUG
BETRUGSPRÄVENTION
TREASURY
ZAHLUNGSVERKEHR
ZAHLUNGSBETRUG
BETRUGSPRÄVENTION
TREASURY
ZAHLUNGSVERKEHR
ZAHLUNGSBETRUG
BETRUGSPRÄVENTION
TREASURY
ZAHLUNGSVERKEHR

Table of contents

Share

Was passiert, wenn während der Sommerferien die halbe Finance-Mannschaft im Urlaub ist und genau dann eine E-Mail mit geänderten Bankdaten eines Lieferanten hereinkommt? Auf exakt diese Lücke zielen Betrüger.


Über drei Viertel der Unternehmen berichten von versuchtem oder tatsächlichem Zahlungsbetrug im Jahr 2025. Für CFOs ist das keine abstrakte Kennzahl, sondern eine Frage von Liquidität, Haftung und Prozesssicherheit. Die entscheidende Frage ist nicht mehr, ob ein Angriff kommt, sondern wie gut der Zahlungsprozess standhält, wenn er kommt.

Was ist Zahlungsbetrug und wie verbreitet ist er?

Zahlungsbetrug umfasst alle Methoden, mit denen Kriminelle Zahlungen umlenken oder auslösen, die ein Unternehmen so nie autorisiert hätte. Dazu zählen gefälschte E-Mails im Namen von Geschäftsführung oder Lieferanten, manipulierte Kontoverbindungen, Rechnungsbetrug, Social Engineering per Telefon und kompromittierte Zugänge.

Laut der AFP Payments Fraud and Control Survey 2026 waren rund drei Viertel (76 %) der befragten Organisationen 2025 von versuchtem oder tatsächlichem Zahlungsbetrug betroffen. Die Erhebung bildet vor allem den nordamerikanischen Markt ab. Die europäische Aufsicht zeichnet ein vergleichbares Bild: EZB und EBA beziffern den Gesamtwert betrügerischer Zahlungstransaktionen im EWR auf rund 4,3 Mrd. €.

Zwei Einordnungen sind für die Praxis entscheidend. Erstens: Nicht jeder Versuch ist erfolgreich, denn geschulte Mitarbeitende erkennen viele Angriffe rechtzeitig. Zweitens: Die reale Zahl liegt über der gemeldeten, denn unentdeckte Fälle tauchen natürlich in keiner Statistik auf.

KI verschiebt das Kräfteverhältnis

Künstliche Intelligenz macht nicht nur Unternehmensprozesse effizienter, sondern auch die Werkzeuge der Angreifer. Systeme, die vor wenigen Jahren kaum zusammenhängenden Text erzeugten, finden heute komplexe Schwachstellen in Softwareumgebungen.

Wie schnell diese Entwicklung verläuft, zeigte sich gerade dieses Jahr: Leistungsfähige KI-Modelle identifizierten eigenständig tausende bislang unbekannte Sicherheitslücken in gängigen Betriebssystemen und Browsern und entwickelte funktionierende Exploits. Fachleute werten das als Wendepunkt, gerade weil dieselbe Fähigkeit in beide Richtungen wirkt.

Für den Zahlungsverkehr heißt das konkret: Was früher hochspezialisiertes Wissen erforderte, lässt sich heute mit deutlich niedrigerer Einstiegshürde versuchen. Mit agentenbasierten Systemen testet ein einzelner Angreifer viele Varianten parallel. Scheitert ein Versuch, folgt der nächste mit geringem Zusatzaufwand, bis jemand einen schlechten Tag hat, bis eine ungeschützte Zahlungsdatei am falschen Ort landet, bis ein Prozess versagt, weil er von Anfang an zu viele Lücken hatte. Zahlungsbetrug wird dadurch skalierbarer, schneller und schwerer vorhersehbar.

Die relevantesten Betrugsarten im DACH-Raum

Nicht jede international diskutierte Betrugsform ist im DACH-Raum gleich relevant. Diese vier Muster treffen Unternehmen am härtesten:


Betrugsart

Typisches Merkmal

Konsequenz

Fake-President-/CEO-Fraud

Dringende, vertrauliche Zahlungsanweisung im Namen der Geschäftsführung, oft unter Zeitdruck und außerhalb üblicher Abläufe

Hohe Einzelschäden, häufig sofort und in voller Höhe verloren

Rechnungs- und Zahlungsumleitung

Geänderte Kontoverbindung eines echten Lieferanten, per E-Mail oder auf gefälschtem Geschäftspapier

Zahlung fließt an fremdes Konto; Doppelzahlung an echten Lieferanten droht

Social Engineering per Telefon / Deepfake-Stimme

Anruf angeblicher Vorgesetzter, Banken oder Lieferanten; zunehmend mit KI-imitierten Stimmen

Umgehung technischer Kontrollen über die menschliche Ebene

Kontoübernahme und Phishing

Kompromittierte Zugangsdaten, abgefangene echte E-Mail-Verläufe

Angreifer agiert aus vertrauenswürdig wirkenden Konten heraus

Fake-President-Fraud: Der teure Klassiker

Beim Fake-President-Fraud (auch CEO-Fraud oder „Chef-Masche") täuschen Täter eine Anweisung der Führungsebene vor. Die bekanntesten DACH-Fälle zeigen die Dimension: Der Automobilzulieferer Leoni verlor rund 40 Mio. €, der Luftfahrtzulieferer FACC rund 50 Mio. €. Das Muster ist unverändert: Autorität plus Dringlichkeit plus Vertraulichkeit hebeln die normale Skepsis aus.

Rechnungs- und Zahlungsumleitung: Der stille Dauerbrenner

Häufiger, weniger spektakulär und oft folgenreicher ist die Umleitung von Zahlungen. Ein echter Lieferant wird imitiert, die Bankverbindung „aktualisiert", und die nächste fällige Rechnung fließt auf ein fremdes Konto. Genau hier setzt ein Fall an, den wir aus einer Kundenanfrage kennen: Eine E-Mail mit neuen Stammdaten, sauber auf dem Geschäftspapier eines bekannten Partners. Die Bankverbindung wurde geändert. Es gab kein Vier-Augen-Prinzip an dieser Stelle, keine systemische Kontrolle der Änderung. Das Geld war weg, der Schaden real. Kein technischer Angriff im engeren Sinn, nur ein Prozess mit einer Lücke, die zum falschen Zeitpunkt getroffen wurde.

Warum der Sommer das Risiko strukturell erhöht

Die Urlaubszeit verschärft genau diese Schwachstellen. Ohnehin schlanke Treasury- und Finance-Teams arbeiten mit weniger Personal. Vertretungen werden kurzfristig benannt, Verantwortlichkeiten verschieben sich, Freigaben laufen unter Zeitdruck.

Formal bleibt das Vier-Augen-Prinzip bestehen. Die fachliche Beurteilung einer Zahlung ist aber nicht immer gleich stark, wenn eine Vertretung einen Vorgang freigibt, den sie inhaltlich kaum einordnen kann. Auch der Audit-Trail verliert an Aussagekraft, wenn Rollen, Vertretungen und tatsächliche Zuständigkeiten nicht sauber abgebildet sind.

Angreifer nutzen exakt diese Konstellation. Werden mehrere Methoden kombiniert, etwa gefälschte E-Mail, manipulierte Zahlungsdaten, Social Engineering und kompromittierte Zugänge, reichen einzelne Schutzmaßnahmen nicht mehr aus. Zahlungssicherheit muss deshalb mehrstufig gedacht werden.

Was das für Prozesse, Risiko und Kosten bedeutet

Aus CFO-Sicht sind die Folgen unmittelbar. Verlorene Mittel lassen sich häufig nicht zurückholen: In der AFP-Erhebung 2025 erhielt rund ein Fünftel der betroffenen Organisationen keinen Cent zurück. Jeder Fall bindet zudem Zeit für Aufklärung, Rückabwicklung und Kommunikation mit Bank, Lieferant und interner Revision.

Hinzu kommt die Haftungsdimension. Schwächen im internen Kontrollsystem können zu Feststellungen in der Abschlussprüfung führen und berühren die Sorgfaltspflichten der Geschäftsleitung. Wir geben hier keine Rechtsberatung, aber die Einordnung ist klar: Ein nachweisbar sauberer, dokumentierter Zahlungsprozess ist auch ein Haftungsargument.

Zahlungssicherheit muss mehrstufig sein

Seit dem 9. Oktober 2025 müssen Banken im Euroraum im Rahmen der EU-Verordnung über Sofortüberweisungen einen Empfängerabgleich (Verification of Payee) anbieten: Vor der Freigabe wird geprüft, ob Kontoinhaber und IBAN zusammenpassen. Das ist ein sinnvoller Baustein, aber kein vollständiger Schutz. Der Abgleich läuft bankseitig, Firmenkunden können ihn abwählen, und er erkennt keine Manipulation, bei der Name und Konto zueinander „passen" oder bei der interne Prozesslücken ausgenutzt werden.

Der wirksame Schutz liegt deshalb im eigenen Zahlungsprozess, und zwar in Schichten, die auch dann greifen, wenn das Team dünn besetzt ist:


  • Zahlungsfreigaben ausschließlich über ein zentrales Tool, nicht auf Zuruf per Telefon oder E-Mail

  • Vier-Augen-Prinzip mit Freigabe auch auf Stammdatenänderungen, nicht nur auf Zahlungen

  • Hinweismeldung über kürzlich geänderte Stammdaten bei jeder Zahlungsfreigabe

  • Automatische, KI-basierte Validierung und Anreicherung von Kreditoren- und Debitorenstammdaten

  • Empfängerabgleich (VoP) bereits bei Anlage oder Änderung von Stammdaten, nicht nur bei der Zahlung

  • Unabhängige Verwaltung von Zeichnungsrechten und Vertretungen, damit Urlaubsabdeckung flexibel bleibt, ohne Kontrolle und Nachvollziehbarkeit zu schwächen

  • Dublettenwarnungen, die identische oder auffällig ähnliche Zahlungen markieren

  • Regelbasierte Beschränkungen nach Empfänger, Land, Währung und Betrag

  • Lückenloser Audit-Trail, der Rollen und tatsächliche Freigaben abbildet

Wie der Banking Connector unterstützt

Diese Schutzschichten wirken am besten, wenn sie an einer Stelle gebündelt sind, nicht verteilt über einzelne ERP-Module und Bankportale. Der Banking Connector setzt als unabhängige Kontrollebene zwischen ERP und Bank an. Jede Zahlung durchläuft dieselben Regeln, bevor sie das Haus verlässt: Check and Send statt Pay and Chase. Kein Cent verlässt ungeprüft das Haus.

Konkret bedeutet das: Zahlungsfreigaben laufen ausschließlich über den Banking Connector, nicht per Telefon oder E-Mail. Stammdatenänderungen und Zahlungsfreigaben durchlaufen einen klar definierten Prozess und bei der nächsten Zahlungsfreigabe erscheint automatisch ein Hinweis auf kürzlich geänderte Daten. Kreditoren- und Debitorenstammdaten werden zusätzlich KI-basiert validiert und bei Bedarf angereichert, der Empfängerabgleich (VoP) greift bei Anlage oder Änderung von Stammdaten und bei der Ausführung der Zahlung. Zeichnungsrechte und Vertretungen lassen sich getrennt verwalten, sodass temporäre Urlaubsabdeckung möglich ist, ohne Kontrolle oder Nachvollziehbarkeit aufzugeben. Dublettenwarnungen und regelbasierte Validierungen fangen auffällige Zahlungen ab, bevor sie die Bank erreichen. Jeder Schritt und jede Aktion wird revisionssicher dokumentiert.

Hier geht es zu den Details.

Fazit: Die eigentliche Kostenfrage

Zahlungsbetrug lässt sich nie vollständig ausschließen. Beeinflussbar ist aber, wie leicht ein Unternehmen anzugreifen ist, wie schnell Auffälligkeiten erkannt werden und wie klar sich im Ernstfall rekonstruieren lässt, was passiert ist.

Die relevante Frage lautet deshalb nicht allein: Was kostet eine sichere Zahlungslösung? Sondern ebenso: Was kostet es, wenn der Zahlungsprozess nicht sicher genug ist?

Wenn Sie prüfen möchten, wie robust Ihr Zahlungsprozess durch die Urlaubszeit trägt, melden Sie sich gerne.

Auf der Suche nach mehr? Entdecken Sie weitere Artikel, Insights und Updates